Code généré par IA : peut-on encore revendiquer le droit d'auteur ? La leçon de la fuite Anthropic
Le 30 mars 2026, Anthropic publie sur npm la version 2.1.88 du package @anthropic-ai/claude-code. Embarqué dans cette release : un fichier source map de 59,8 Mo, contenant l'intégralité du code source TypeScript de Claude Code, soit environ 512 000 lignes réparties sur près de 1 900 fichiers. La fuite est repérée le jour même par le chercheur en sécurité Chaofan Shou. Elle devient virale en quelques heures.
La réaction d'Anthropic est immédiate : la société envoie à GitHub des milliers de notifications DMCA pour faire retirer les copies du code. Le périmètre initial atteint environ 8 100 dépôts, incluant des forks légitimes du dépôt public officiel de Claude Code. Boris Cherny, responsable de Claude Code chez Anthropic, qualifie l'opération d'« accident » et la rétracte sur tous les dépôts sauf un, plus 96 forks.
Le paradoxe saute aux yeux. Quelques semaines plus tôt, le même Boris Cherny déclarait que « pratiquement 100 % » du code chez Anthropic était désormais écrit par IA, son cas personnel atteignant 100 % depuis plus de deux mois. Un porte-parole d'Anthropic ramenait ensuite ce chiffre à 70-90 % à l'échelle de l'entreprise, et environ 90 % pour Claude Code lui-même.
Question juridique : peut-on revendiquer un droit d'auteur sur un code informatique lorsque celui-ci est rédigé, pour l'essentiel, par une IA ?
Le cadre français et européen : le logiciel protégé sous condition d'originalité
En droit français, le logiciel figure expressément parmi les œuvres de l'esprit protégées par le droit d'auteur (article L.112-2, 13° du Code de la propriété intellectuelle). Mais comme toute œuvre, il n'est protégeable qu'à la condition d'être original.
La Cour de cassation, dans son arrêt Pachot du 7 mars 1986 (Cass. Ass. Plén., 7 mars 1986, n° 83-10.477), a défini l'originalité du logiciel comme « l'apport intellectuel de l'auteur » et un « effort personnalisé allant au-delà de la simple mise en œuvre d'une logique automatique et contraignante ». Le critère reste appliqué aujourd'hui (notamment CA Douai, 5 avril 2018).
Le droit de l'Union européenne consacre la même exigence. La directive 2009/24/CE du 23 avril 2009 concernant la protection juridique des programmes d'ordinateur dispose, à son article 1er, paragraphe 3, qu'un programme « est protégé s'il est original, en ce sens qu'il est une création intellectuelle propre à son auteur ». La Cour de justice de l'Union européenne a précisé que l'originalité suppose une création reflétant la personnalité de son auteur, traduisant des « choix libres et créatifs » (CJUE, 16 juillet 2009, Infopaq, C-5/08 ; CJUE, 1er décembre 2011, Painer, C-145/10).
Conclusion logique : plus la part du code générée par l'IA augmente, plus l'apport intellectuel humain devient difficile à caractériser, et plus la protection par le droit d'auteur s'amenuise.
Le verrou de l'auteur humain
Le droit d'auteur reste construit autour d'une figure : celle du créateur humain. Le Code de la propriété intellectuelle évoque l'« auteur d'une œuvre de l'esprit » (article L.111-1), sans envisager qu'une machine puisse occuper cette place. Aucune jurisprudence française n'a, à ce jour, reconnu la qualité d'auteur à un système d'IA.
Outre-Atlantique, la position est désormais explicite. Dans Thaler c. Perlmutter, la Cour d'appel du District de Columbia a confirmé le 18 mars 2025 que le Copyright Act de 1976 exige une paternité humaine pour qu'une œuvre soit protégée. La Cour suprême des États-Unis a refusé de connaître le recours le 2 mars 2026, fixant durablement la règle.
Ce verrou pèse directement sur le cas Anthropic. Si l'on retient les déclarations publiques de la société (entre 70 % et 90 % du code écrit par IA), la part identifiable d'apport intellectuel humain dans Claude Code devient plus mince. Pour les portions de code où l'humain n'a fait qu'orienter le modèle par un prompt ou valider une sortie, la question de l'originalité au sens du droit d'auteur reste entière.
Les autres protections disponibles : utiles, mais insuffisantes
Le droit d'auteur n'est pas la seule arme juridique de protection du code informatique. Trois autres pistes existent, chacune avec ses limites.
Le secret des affaires (articles L.151-1 et suivants du Code de commerce, transposant la directive 2016/943/UE). Il protège les informations confidentielles à valeur économique faisant l'objet de mesures de protection raisonnables. Mais le secret cesse au moment où le code devient public, c'est-à-dire précisément ce qui s'est produit dans l'affaire Anthropic. Une fois la source map téléchargée, copiée et diffusée, le secret est mort. Les DMCA peuvent forcer le retrait, pas restaurer la confidentialité.
Le brevet, lorsque le code traduit une invention technique brevetable. La voie est étroite en Europe (article 52 de la Convention sur le brevet européen, qui exclut les programmes d'ordinateur « en tant que tels »). Elle ne couvre que les éléments d'invention, pas le code ligne à ligne.
Le droit contractuel. Les contrats de licence, les CGU, les accords de confidentialité et les clauses de non-rétroingénierie restent opérants tant que le cocontractant est identifié. Ils sont sans effet contre un tiers qui n'a jamais signé.
Dans la pratique, le droit d'auteur restait jusqu'ici le levier juridique principal de protection du code informatique. L'érosion de ce levier par l'augmentation de la part générée par IA n'est pas, à ce jour, compensée par les autres dispositifs.
Ce que les éditeurs de logiciels doivent acter dès maintenant
L'affaire Anthropic n'est pas anecdotique : elle est le premier cas public d'envergure où la contradiction entre un discours « tout-IA » et une revendication de droit d'auteur prend une forme judiciairement traçable. Les prochaines décisions, françaises et européennes, en tireront des conséquences.
Pour les éditeurs de logiciels, trois mesures s'imposent.
1. Documenter l'apport humain dans l'écriture du code. Pour chaque module, chaque fonctionnalité, conserver la trace de ce qui a été conçu, rédigé, corrigé, restructuré par un humain : tickets, commits nominatifs, code reviews, journaux de spécifications, choix d'architecture. C'est cette documentation qui permettra de caractériser l'apport intellectuel exigé par l'arrêt Pachot et la directive 2009/24/CE.
2. Tenir un registre des usages d'IA dans le pipeline de développement. Quels outils, sur quels modules, avec quel niveau d'intervention humaine. Cette cartographie servira en cas de litige, mais aussi pour répondre aux audits de propriété intellectuelle dans le cadre d'opérations de M&A ou de levée de fonds.
3. Renforcer les autres couches de protection. Politique stricte de secret des affaires (étiquetage, accès, mesures techniques), clauses contractuelles ciblées (non-rétroingénierie, non-divulgation, exclusivité), et là où c'est pertinent, examen d'une protection par brevet sur les éléments techniques inventifs.
Recommandation
Le droit d'auteur sur le code informatique ne disparaît pas, mais il devient conditionnel à la traçabilité de l'apport humain. Plus la part d'IA augmente sans documentation, plus la protection s'amenuise.
Avant la prochaine release, deux actions concrètes :
- Mettre en place une politique interne de traçabilité de l'apport humain dans l'écriture du code (qui a écrit quoi, qui a relu quoi, quels choix architecturaux relèvent d'un humain).
- Auditer le portefeuille existant pour identifier les modules à risque (forte part d'IA, faible traçabilité) et renforcer les protections alternatives (secret, contrat, brevet).
La fuite Anthropic est un avertissement. Les prochains contentieux trancheront la question. Mieux vaut s'y préparer avant.
Questions fréquentes (FAQ)
Le code généré par IA peut-il être protégé par le droit d'auteur en France ?
Pas en tant que tel. Le droit d'auteur français exige une œuvre originale, c'est-à-dire portant l'apport intellectuel de son auteur humain (article L.112-2, 13° CPI ; arrêt Pachot, Cass. Ass. Plén., 7 mars 1986 ; directive 2009/24/CE, article 1, paragraphe 3). Un code produit exclusivement par une IA, sans intervention créative humaine, ne remplit pas cette condition. Plus la part humaine est mince, plus la protection est fragile.
Qu'est-ce que l'« apport intellectuel » exigé pour la protection d'un logiciel ?
L'arrêt Pachot l'a défini comme un « effort personnalisé allant au-delà de la simple mise en œuvre d'une logique automatique et contraignante ». Concrètement : des choix d'architecture, de structure, de nommage, d'algorithme qui ne sont pas dictés par la seule contrainte technique. Le droit européen parle de « création intellectuelle propre à son auteur » (directive 2009/24/CE) et de « choix libres et créatifs » (CJUE, Infopaq, C-5/08).
Que s'est-il passé exactement dans la fuite du code Anthropic en mars 2026 ?
Le 30 mars 2026, Anthropic a publié la version 2.1.88 de son package npm @anthropic-ai/claude-code avec un fichier source map de 59,8 Mo embarqué par erreur. Ce fichier contenait l'intégralité du code source TypeScript de Claude Code, soit environ 512 000 lignes sur près de 1 900 fichiers. La fuite a été détectée le jour même par le chercheur Chaofan Shou. Anthropic a ensuite envoyé des milliers de notifications DMCA à GitHub, dont environ 8 100 dépôts, avant de rétracter l'opération sur tous les dépôts sauf un, plus 96 forks.
Le secret des affaires suffit-il à protéger le code source ?
Non, pas dans tous les cas. Le secret des affaires (article L.151-1 du Code de commerce) ne couvre que les informations restées confidentielles. Une fois le code rendu public, comme dans la fuite Anthropic, la protection par le secret tombe. Les notifications DMCA peuvent forcer un retrait sur les plateformes, mais n'effacent ni les téléchargements antérieurs, ni la perte du caractère secret.
Anthropic peut-elle revendiquer un droit d'auteur sur Claude Code après avoir dit que 90 % du code est écrit par IA ?
La question est ouverte. Anthropic a envoyé des notifications DMCA fondées sur la copyright law américaine. Mais ses propres déclarations publiques (Boris Cherny : « pratiquement 100 % », porte-parole : 70 à 90 % à l'échelle de l'entreprise, environ 90 % pour Claude Code) affaiblissent la caractérisation d'un apport intellectuel humain sur l'intégralité du code. Aucun juge n'a encore tranché cette contradiction. Les prochains contentieux la mettront à l'épreuve.
Comment les éditeurs de logiciels peuvent-ils sécuriser leur code à l'ère de l'IA générative ?
Trois mesures concrètes : documenter l'apport humain à chaque étape (conception, choix d'architecture, code reviews, commits nominatifs) ; tenir un registre des outils d'IA utilisés dans le pipeline de développement et du niveau d'intervention humaine ; renforcer les protections alternatives au droit d'auteur (secret des affaires avec mesures techniques et organisationnelles, clauses contractuelles ciblées, brevet sur les éléments inventifs lorsque la voie est ouverte).
Une IA peut-elle être reconnue auteur d'un logiciel ?
Non, en l'état du droit. Le Code de la propriété intellectuelle français et la directive 2009/24/CE supposent un auteur humain. Aux États-Unis, la Cour d'appel du District de Columbia a confirmé le 18 mars 2025, dans Thaler c. Perlmutter, qu'une IA ne peut être reconnue auteur d'une œuvre au sens du Copyright Act. La Cour suprême a refusé d'examiner le recours le 2 mars 2026.
Quelles autres protections juridiques pour le code informatique ?
Outre le droit d'auteur, le code peut être protégé par le secret des affaires (tant qu'il reste confidentiel), par le droit des brevets (lorsque le code traduit une invention technique brevetable, dans le cadre étroit de l'article 52 CBE), et par le contrat (licences, CGU, accords de confidentialité, clauses de non-rétroingénierie). Aucune de ces protections ne remplace à elle seule le droit d'auteur.